对字符集、编码和宽字节注入的思考

最新推荐文章于 2022-07-24 12:27:05 发布
最新推荐文章于 2022-07-24 12:27:05 发布
阅读量250 收藏 1
点赞数
分类专栏: 漏洞原理 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shawdow_bug/article/details/116447687
版权

这篇博文详细介绍宽字节注入以及SQL注入与编码会出现的安全问题:
浅析白盒审计中的字符编码及SQL注入

在此不做搬运工,只做自己的思考和总结。
个人认为学习的正确过程是理解概念、建立概念的关系、推测、实验论证和归纳。

概念:
(1)字符(character)是各种文字和符号的总称,包括各国家文字、标点符号、图形符号、数字等。
(2)字符集(Character set)是多个字符的集合,常见的字符集:ASCII字符集、GB2312字符集、BIG5字符集、 GB18030字符集、Unicode字符集等。

GBK编码,是对GB2312编码的扩展,因此完全兼容GB2312-80标准。GBK编码依然采用双字节编码方案,其编码范围:8140-FEFE(高字节从81到FE,低字节从40到FE),剔除xx7F码位

UTF-8 的编码规则很简单,只有二条:
1)对于单字节的符号,字节的第一位设为0,后面7位为这个符号的 Unicode 码。因此对于英语字母,UTF-8 编码和 ASCII 码是相同的。
2)对于n字节的符号(n > 1),第一个字节的前n位都设为1,第n + 1位设为0,后面字节的前两位一律设为10。剩下的没有提及的二进制位,全部为这个符号的 Unicode 码。

(3)编码(coding)是信息从一种形式或格式转换为另一种形式的过程,也称为计算机编程语言的代码简称编码。有时指编码的过程,有时指编码的结果。
(4)php的iconv函数作用是字符串按要求的字符编码来转换。

iconv ( string $in_charset , string $out_charset , string $str ) : string

返回的结果是转换字符编码后的字符串。
测试一下:

<?php
	$name = $_GET['name'];
	echo urlencode($_GET['name']);    // %E5%92%8C
	echo '<br>';
	$name = iconv('utf-8', 'gbk', $name);
	echo urlencode($name);           // %BA%CD
?>

浏览器访问并执行脚本:
在这里插入图片描述

结果分析:
浏览器对"和"做Unicode编码,所以是三个字节。当执行iconv函数后,字符编码被转换成GBK,因此"和"的编码是两个字节。

MySQL宽字节注入

<?php
	header('content-type:text/html;charset=gbk');
	
	$conn = mysql_connect('localhost', 'root', 'root') or die('bad');
	mysql_select_db('test', $conn);
	mysql_query('set names gbk', $conn);
	
	$name=addslashes($_GET['name']);
	echo $name.'<br>';
	echo urlencode($name).'<br>';
	
	$sql = "insert into user value('{$name}', 'test')";
	mysql_query($sql, $conn) or die(mysql_error());
?>

执行结果:
在这里插入图片描述
结果分析:
addslashes函数在%27(单引号 ’ )前面插入一个%5c(反斜杠),然后这份数据传递给MySQL。因为MySQL执行了set names gbk,这句代码做了三件事:

set character_set_connection=gbk;
set character_set_results=gbk;
set character_set_client=gbk;

重点在于set character_set_client=gbk,这句代码决定MySQL如何解析对php传输的数据,这里设置了gbk,所以MySQL在处理数据时,将%df%5c看作一个中文字符,%5c仍存在,但反斜杠已经不存在,而单引号逃逸了。

mysql_real_escape_string函数

mysql_real_escape_string函数和mysql_set_query函数配套使用,可以防御宽字节注入,这是方法之一。怎么防御的?

<?php
	header('content-type:text/html;charset=gbk');
	
	$conn = mysql_connect('localhost', 'root', 'root') or die('bad');
	mysql_select_db('test', $conn);
	mysql_query('set names gbk', $conn);
	
	mysql_set_charset('gbk');
	$name=mysql_real_escape_string($_GET['name']);
	echo $name.'<br>';
	echo urlencode($name).'<br>';
	
	$sql = "insert into user value('{$name}', 'test')";
	mysql_query($sql, $conn) or die(mysql_error());
?>

执行结果:
在这里插入图片描述
结果分析:
这里虽然%27前面的反斜杠仍被“吞掉”了,但是MySQL并没有报错,因为这里显示的数据这是浏览器解析的结果。另外,mysql_real_escape_string()的转义作用会考虑到mysql_set_character()设置的字符集,所以这里%df前面也插入了%5c。当MySQL处理这份数据时,两个%5c被去掉(这里的意思是反斜杠已经起到转义作用),而在插入时,%df%27作为gbk的一个字符插入,这不是一个gbk字符,因此变成一个"?"。
在这里插入图片描述
如果传输的数据是%df%df%27,mysql_real_ecsape_string()将%df%df当作一个中文字符,不添加反斜杠转义,就变成%df%df%5c%27。

也就是说,mysql_real_escape_string()考虑mysql_set_charset()的意思是将无法正常解析的字符前面加反斜杠,能够正常解析的字符不加反斜杠。这样一来,从插入数据的结果来看,单引号要么被转义,要么被吞掉,而不会逃逸。(实际上都是反斜杠起到转义作用了)

character_set_client=binary

设置character_set_client=binary也能防御,这是方法之二。

<?php
	header('content-type:text/html;charset=gbk');
	
	$conn = mysql_connect('localhost', 'root', 'root') or die('bad');
	mysql_select_db('test', $conn);
	mysql_query("set character_set_connection=gbk,
				character_set_result=gbk,
				character_set_client=binary", $conn);
	
	$name = $_GET['name'];
	$name = addslashes($_GET['name']);
	echo $name.'<br>';
	echo urlencode($name).'<br>';
	
	$sql = "insert into user value('{$name}', 'test')";
	$result = mysql_query($sql, $conn) or die(mysql_error());
?>

执行结果:
在这里插入图片描述
结果分析:

设置了character_set_client=binary之后,MySQL对php传输的数据就看成二进制形式。

这里的 binary 具有迷惑性,起初我以为二进制数据就不是字符了,%27失去了单引号的闭合作用,所以无论传输什么数据都不会破坏sql语句,但其实不是,这些数据只是被当成一个个单字节字符处理。换言之,现在%27前面的反斜杠一定会起到转义作用,它再也不会被多字节“吞掉”了。这是character_set_client=binary防御宽字节注入的原理。

因此,%df无法插入,变成"?"。
在这里插入图片描述
再插入一个%df:
在这里插入图片描述
两个%df都被转换成"?"。

iconv函数

iconv函数引起的问题是PHP层的问题,如果设置了character_set_client=binary后,多此一举添加了iconv函数就会出问题。

<?php
	header('content-type:text/html;charset=gbk');
	
	$conn = mysql_connect('localhost', 'root', 'root') or die('bad');
	mysql_select_db('test', $conn);
	mysql_query("set character_set_connection=gbk,character_set_result=gbk,character_set_client=binary", $conn);
	
	$name = $_GET['name'];
	$name = addslashes($_GET['name']);
	echo $name.'<br>';
	echo urlencode($name).'<br>';
	
	$name = iconv('gbk','utf-8',$name);          // 字符串由gbk编码转换成utf-8编码
	echo urlencode($name).'<br>'.;
	$sql = "insert into user value('{$name}', 'test')";
	$result = mysql_query($sql, $conn) or die(mysql_error());
?>

执行结果:
在这里插入图片描述
结果分析:
这里的思路是利用 iconv 函数转换编码的时候将反斜杠吞掉。%df%5c是gbk字符,转换成utf-8编码后,已经失去%5c了,%27逃逸。

为什么不是在字符串转换编码的过程,生成一个%5c转义掉%27前面的反斜杠?因为utf-8编码除了第一个字节外,后面的字节都是以 10 开头,而 %5c 是 01011100 ,所以一个中文字符无法在gbk转utf-8后得到一个%5c。

将iconv()的两个“字符集”参数换一下位置:

	$name = iconv('utf-8','gbk',$name);          // 字符串由gbk编码转换成utf-8编码

执行结果:
在这里插入图片描述
结果分析:
这里的思路是利用 iconv 函数转换编码的时候生成一个%5c。将后面紧跟着的%5c转义造,成%27逃逸。

这里为什么不是把%5c吞掉?还是那个原因,utf-8的低位字节范围没有%5c,所以不能够输入两个字节%xx%xx,将紧跟着的%5c吞掉。另外,gbk的低位字节范围中存在%5c,所以能够生成一个%5c。

总结:
总的来说,不同系统的编码不一致就会出现问题。

friEnd`
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
字符集SQL注入
secretx的专栏
12-16 941
SQL注入 以前只是知道部分字符集转化时会导致注入,并未找到实际例子,现在看到了记录一下。 BIG5, CP932, GB2312, GBK and SJIS are blacklisted as they may introduce a SQL injection vulnerability! 代码(php语言) mysql_query('SET NAMES gbk');
8.宽字节注入
kinght的博客
08-26 455
title: 8.宽字节注入 date: 2020-08-18 14:05:00 categories: 4.网络安全 1.Web安全 1.SQL注入 tags: 1.Web安全 2.SQL注入 在一些特定的场景,常规语句不能直接进行注入,但是因为程序代码开发存在一些瑕疵,我们可以使用PHP的一些特性进行注入,比如这次的宽字节注入 宽字节注入原理 什么是宽字节? 如果一个字符其大小为1个字节的称为窄字节,如果为两个字符的就被称为宽字节 一个字节有八个bit,有255种组成方式,英文由于只有24个字.
宽字符注入详解与实战
hl1293348082的专栏
04-06 1657
宽字节注入源于程序员设置MySQL连接时的错误配置,如下: set character_set_client=gbk ,这样的配置会引发编码转换从而导致绕过某些防护实现注入漏洞。具体分析一下原理: 正常情况下GPC开启或者使用addslashes函数过滤GET或POST提交的参数时,我们测试输入的',就会被转义为\'; 若存在宽字节注入,输入%df%27时,经过单引号的转义变成了%df%5c%27,之后再数据库查询语句进行GBK多字节编码,即一个中文占用两个字节,一个英文同样占用两个字
UTF8编码
热门推荐
语不惊人死不休
10-14 54万+
UTF,是UnicodeTransformation Format的缩写,意为Unicode转换格式。UTF-8是UNICODE的一种变长字符编码,由Ken Thompson于1992年创建。现在已经标准化为RFC 3629。UTF-8用1到6个字节编码UNICODE字符。     如果UNICODE字符由2个字节表示,则编码成UTF-8很可能需要3个字节,而如果UNICODE字符由4个字
C++ 编码转换 UTF8 UrlEncode 宽字符 大写
11-07 2203
const wchar_t * hexenc[] = { L"%00", L"%01", L"%02", L"%03", L"%04", L"%05", L"%06", L"%07", L"%08", L"%09", L"%0A", L"%0B", L"%0C", L"%0D", L"%0E", L"%0F", L"%10", L"%11", L"%12", L"%13", L"%14", L"%15", L"%16", L"%17", L"%18", L"%19".
第十九节 宽字节SQL注入-01
09-15
宽字节注入代码分析 在宽字节SQL注入攻击中,攻击者可以使用 Php 的addslashes 函数来转义特殊字符,例如将“'”转义为“%DF\'”。然后,在MYSQL中,这个宽字符将被认为是一个合法的字符,从而 bypass 数据库的安全...
易语言字节集文件的十六进制和文本的读取操作
07-17
而“文本的读取操作”则涉及到从字节集中提取可读的文本信息,这可能需要对字节集进行解码,例如从UTF-8或GBK编码的字节集中还原出文本。 “文件字节集翻页”通常是指在大量字节集中分块读取数据,以避免一次性加载...
高阶JAVA篇-深入解读字符集.pptx.pptx
最新发布
12-21
字符集是字符和字节之间关系的规范,它定义了如何将字符转换为字节流以便存储和传输。在Java中,字符编码涉及了多种类型,如ASCII、ISO-8859-1和UTF-8等。 ASCII是最基础的7位字符编码,它只包含128个基本的拉丁...
php截取字符串之截取utf8或gbk编码的中英文字符串示例
12-18
同样,`mb_strlen()`函数虽然可以基于指定的字符集计算字符串长度,但在微博的场景下,仍然无法直接满足需求,因为它会将每个中文字符视为1个单位。 为了解决这个问题,我们可以编写自定义的字符串长度计算函数,以...
浅析白盒审计中的字符编码及SQL注射1
08-03
GBK编码是中国大陆广泛使用的多字节字符集,能够表示大部分中文字符,每个汉字通常占用2个字节。相比之下,UTF-8编码是一种更通用的Unicode编码方式,对于中文字符,它需要3个字节。 在PHP中,字符编码的不同会影响...
宽字节注入
weixin_45253622的博客
03-18 6466
宽字节注入 漏洞原理 宽字节注入是由于不同编码中中英文所占字符的不同所导致的。 通常来说,在GBK编码当中,一个汉字占用2个字节。而UTF-8编码中,一个汉字占用3个字节。 在一般的sql注入时,参数id=1在数据库查询时是被单引号包围的。当传入id=1’时,传入的单引号又被转义符(反斜线)转义,导致参数ID无法逃逸单引号的包围,所以在一般情况下,此处是不存在sql注入漏洞的。 不过有个特例,就是当数据库的编码是GBK时,可以使用宽字节注入,宽字节的格式是在地址后先加一个%df ,再加单引号,因为反斜杠的编
mysql character_set_client 设置_关于mysql字符集设置了character_set_client=binary 在gbk情况下会出现表描述是乱码的情况...
weixin_32202001的博客
01-19 677
mysql链接建立之后,通过如下方式设置编码:mysql_query("SET character_set_connection=" . $GLOBALS['charset'] . ",character_set_results=" . $GLOBALS['charset'] . ",character_set_client=binary", $this->link);然而建立出来的表结构描...
对宽字节的深入了解
→_→
05-07 6719
01 背景知识 字符集 在了解宽字节注入之前,我们先来看一看字符集是什么。字符集也叫字符编码,是一种将符号转换为二进制数的映射关系。 几种常见的字符集: ASCII编码:单字节编码 latin1编码:单字节编码 gbk编码:使用一字节和双字节编码,0x00-0x7F范围内是一位,和 ASCII 保持一致。双字节的第一字节范围是0x81-0xFE UTF-8编码:使用一至四字节编码,0x......
关于MySQL中的8个 character_set 变量说明
小异常的博客
04-12 7万+
本篇会简单介绍在 MySQL 中关于 8个 character_set 变量的基本作用。   使用下列SQL语句可以查看 MySQL中8个 character_set 变量 SHOW VARIABLES LIKE '%char%';
MySQL的编码机制
星星的故事
12-05 468
一般在MYSQL使用中文查询  都是用  set NAMES charactercharacter_set_client ,这是用户告诉MySQL查询是用的什么字符集。 character_set_connection ,MySQL接受到用户查询后,按照character_set_client将其转化为character_set_connection设定的字符集。 characte
SQL注入之宽字节注入
qq_68233961的博客
07-24 1918
SQL注入之宽字节注入
关于MySQL如何修改character_set_client的编码问题
zhaipupu的专栏
03-06 2864
https://www.jianshu.com/p/19b2a6e9ed90
常用汉字的UTF-8编码
轻口味的专栏
11-23 1万+
在防止恶意注册中,输入随即图片认证时可以用下面的常用字符集: \u7684\u4e00\u4e86\u662f\u6211\u4e0d\u5728\u4eba\u4eec\u6709\u6765\u4ed6\u8fd9\u4e0a\u7740\u4e2a\u5730\u5230\u5927\u91cc\u8bf4\u5c31\u53bb\u5b50\u5f97\u4e5f\u548c\u90a3
sql注入宽字节注入
07-28
SQL注入和宽字节注入都是常见的安全漏洞类型。下面我将简要介绍这两种注入方式。 1. SQL注入: SQL注入是一种在应用程序中利用不正确处理用户输入的漏洞,攻击者可以通过在用户输入中插入恶意的SQL代码来执行非授权的数据库操作。这可能导致数据泄露、数据篡改、绕过认证、获取系统权限等问题。 预防SQL注入的措施包括: - 使用参数化查询或预编译语句来处理数据库查询,而不是直接拼接用户输入的数据。 - 对用户输入进行严格的验证和过滤,避免将未经处理的输入直接传递给数据库查询。 - 最小化数据库用户的权限,并且仅分配最低必要的权限。 2. 宽字节注入宽字节注入是一种特定于某些数据库和编码方式的注入攻击方法。它利用了某些编码方式对特殊字符的处理不当,从而绕过了应用程序对输入进行过滤和验证的机制。攻击者可以通过插入宽字节字符来篡改SQL语句或绕过认证。 预防宽字节注入的措施包括: - 使用合适的编码方式,例如UTF-8,以避免特殊字符被误解释。 - 进行输入验证和过滤,确保特殊字符被正确处理,不会导致SQL语句的非预期解析。 - 定期更新数据库和应用程序框架,以修复已知的宽字节注入漏洞。 总的来说,要防止SQL注入和宽字节注入等安全漏洞,应该采取综合性的安全措施,包括输入验证、参数化查询、最小权限原则、使用最新版本的软件以及定期进行安全审计和漏洞扫描。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值